奇怪ARP故障
某夜,用户申告网络不通,PING电信IP,网关都正常,ping DNS不通。遇到这类问题的时候一般会认为是否DNS故障,但是,其他用户都正常,这个可以完全排除DNS问题,因为ping电信网关都会通,而且是单台
电脑接到光电收发器上,没有内网问题,留下的就是电信机房数据,机房三层3906交换机端口和光电收发器,这三个问题了,于是就用土办
法,一个一个来,先看原来用户所在的3906端口上数据是否有异常?没有,再看3906交换机接的上层交换机交换机换,还真的是有数据告
警,看告警数据是有大量ARP数据,端口接收大量来自外网的ARP攻击数据,ARP攻击我们先把端口格式化了,然后重新配置上数据,不行,还
是无法上网。那剩下的就是换IP,换完IP,测试上网正常。但是奇怪的是第二天把IP换回原来的IP,又可以用。
这个问题我们没有继续深究,因为那个问题是市数据机房的问题,他们也没有给我回复,所以啥问题,俺现在还是不知道?
可能很多人会说:ARP攻击的话,重新启动一下3906交换机不就可以了,其实我也想过啊,但是不可能去 重启的,比较3906交换机上的用户
太多,不可能没有预先通知就对机房设备进行重启,所以能做的就是针对这个用户进行操作。
[[i] 本帖最后由 chenshowq 于 2008-3-18 09:20 编辑 [/i]] "可能很多人会说:ARP攻击的话,重新启动一下3906交换机不就可以了,其实我也想过啊,但是不可能去 重启的,比较3906交换机上的用户
太多,不可能没有预先通知就对机房设备进行重启,所以能做的就是针对这个用户进行操作。"
楼主是电信的技术人员吧 你可千万不能有这想法 一定要查出原因
重起不是解决问题的根本方法
dfd
qidai:victory: :victory: :victory: [quote]原帖由 [i]westgo[/i] 于 2008-3-18 16:22 发表 [url=http://www.netexpert.cn/redirect.php?goto=findpost&pid=119689&ptid=18866][img]http://www.netexpert.cn/images/common/back.gif[/img][/url]"可能很多人会说:ARP攻击的话,重新启动一下3906交换机不就可以了,其实我也想过啊,但是不可能去 重启的,比较3906交换机上的用户
太多,不可能没有预先通知就对机房设备进行重启,所以能做的就是针对这个用户进 ... [/quote]
有时候为了可以尽快恢复通信,没有时间给你去找原因 这种情况最好先把数抱给抓下来,就算需要先恢复通信,那之后还有再分析的可能~~~ 对呀,一定要查到原因的 下次再有这种情况就抓包 更多时候我们要的是先解决问题了 难后才能去找原因的 所以网管员才会那么被动和郁闷 ping通电信和网关的时候,先用arp -a命令查看一下各ip对应的mac是否正确,如果都一样的mac,就说明有arp类攻击
还有查看本机netstat -na,是否有不正常的网络通讯正在外联,如有则kill 一般我们都是把故障排除作为第一任务,原因可以不去找 一般我们都是把故障排除作为第一任务,原因可以不去找,说得不错,你能等,用户可不会等你的 努力回帖,争取看到附件! 网络上很多奇怪的东西。:) 网络故障都是一个节点一个节点地来排除。偶尔还要在协议层面上分析一下。 学习 要查到原因的:) :victory:
页:
[1]